كشف فريق الأمان الإلكتروني “Socket” عن حملة واسعة النطاق على منصة GitHub تستهدف المطورين عبر حملة تصيد جماعية تعتمد على رسائل مزيفة وإعلانات كاذبة. تستغل هذه الحملة خاصية “المناقشات” في الموقع، التي تسمح للمستخدمين بمناقشة مشاريعهم، حيث تتلقى المشاركون إشعارات عبر البريد الإلكتروني عند نشر تحديثات أو مشاركات جديدة.
تعمل العصابة على نشر تحذيرات وهمية تحمل عناوين مثيرة مثل “ثغرة خطيرة – يتطلب التحديث الفوري”. غالبًا ما تكون هذه الإعلانات مزيفة وتحمل معرفات CVE زائفة، وتُنشأ بواسطة حسابات جديدة أو حسابات قديمة غير نشطة، يُحتمل أن تكون قد سُرقت.
بعد نشر التحذير المزعوم، يرسل GitHub إشعارات للمشاركين، وإذا لم يلاحظوا الخدعة، قد يضغطون على الروابط الموجودة في الرسائل، التي تؤدي إلى تحميل برمجيات خبيثة. تحتوي الروابط على إصدارات محدثة من ملحقات VS Code، مخزنة على Google Drive وخدمات تخزين سحابي أخرى. عند النقر على الرابط، يُعرض المستخدم لمجموعة من عمليات إعادة التوجيه، التي تجمع بياناته وتعرض برمجيات خبيثة فقط للضحايا الذين يتم التعرف عليهم.
يُعتقد أن البرمجية الخبيثة النهائية قد تكون أداة سرقة معلومات، حيث يستهدف المهاجمون غالبًا المطورين بسبب وصولهم إلى مشاريع قيمة أو محافظ العملات الرقمية المخزنة في متصفحاتهم. ويشير “Socket” إلى أن الحملة منظمة بشكل جيد وتستهدف بشكل واسع، محاولة إصابة أكبر عدد ممكن من مستخدمي GitHub.
وتظهر عمليات البحث أن هناك آلاف المشاركات المتشابهة عبر مختلف المستودعات، مما يدل على أن هذا التصيد الجماعي ليس حادثًا عابرًا، بل حملة منسقة. نظرًا لأن “المناقشات” على GitHub ترسل تنبيهات بريد إلكتروني للمشاركين والمتابعين، فإن هذه الرسائل تصل مباشرة إلى صناديق بريد المطورين، مما يزيد من احتمالية وقوعهم في فخ الاختراق.
وفي النهاية، ينصح خبراء الأمان باستخدام برامج مضادة للفيروسات مناسبة لجميع الميزانيات، ويؤكدون أهمية توخي الحذر عند فتح الروابط المشبوهة، خاصة في مواقع مثل GitHub التي تُعد منصة رئيسية للمشاريع البرمجية والتطوير.